第6章 网络接入认证6.1 IEEE 802. 1x认证技术6.2 PPPOE认证6.3 WEB认证 6.4 RADIUS认证服务器6.5 VPN技术简介 IEEE 802. 1x认证技术 IEEE 802.lx出现于2001年6月，起源于IEEE 802.11协议，主要目的是解决无线局域网用户的接 入认证问题。IEEE802.U是标准的无线局域网协议，由于无线 局域网的网络空间具有开放性和终端可移动性，很 难通过网络物理空间来界定终端是否属于该网络。因此，如何通过端口认证来防止其他公司的计算 机接入本公司无线网络就成为一项非常现实的问题 ，IEEE 802.lx正是基于这一需求而出现的一种认 证技术，就是认证用户从网络边界接入网络.IEEE 802. 1x认证技术IEEE 802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和 管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE 802.1x协议对认证方式和认证体系结构 上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更加适合在宽带以太网中的使 用。 IEEE 802.lx体系结构 客户端与认证系统间运行IEEE802.1x定义的EAPOL协议；认证 系统与认证服务器间运行EAP协议，但在EAP 帧中封装了认证数据 ，将该协议承载在其他高层次协议中，如Radius协议，以便穿越复 杂的网络到达认证服务器 基于IEEE 802.lx认证的网络架构 支持802.lx协议的计算机（客户端），支持802.l x 协议的网络交换机（认证系统），RADIUS服务器（认证服务器）三部分（角色）组成 受控端口和非受控端口支持802.lx协议的网络设备（认证系统）有 两种类型的端口：受控端口（controlled Port ）和非受控端口（uncontrolled Port） 802.lx认证机制 认证发起机制退出认证机制重新认证机制认证报文丢失重传机制 认证发起机制认证的发起可以由用户主动发起，也可以由认证系 统发起 .用户端可以通过客户端软件向认证系统发送EAPOL -start报文发起认证。 第一种情况是由认证系统发起的认证。当认证系统 检测到有未经认证的用户使用网络时，就会发起认 证，在认证开始之前端口的状态被强制为未认证状 态。认证发起机制第二种情况是由客户端发起认证。如果用户 要上网，则可以通过客户端软件向认证系统 发送EAPOL-start报文主动发起认证。认证系 统在收到客户端发送的EAPOL-start报文后， 会发送Request/Identity报文响应用户请求，要求用户发送身份标识，这样就启动了一个 认证过程。退出认证机制端口状态从已认证状态改变成未认证状态: (1) 客户端未通过认证服务器的认证;(2) 管理性的控制端口始终处于未认证状态;(3) 与端口对应的MAC地址出现故障(管理性禁止或硬件故障 );(4) 客户端与认证系统之间的连接失败，造成认证超时;(5) 重新认证超时;(6) 客户端未响应认证系统发起的认证请求;(7) 客户端发送EAPOL-Logoff报文，主动下线。 重新认证机制 为了保证用户和认证系统之间的链路处于激活状态，而不因为用户端设备发生故障造成异常死机 ，从而影响对用户计费的准确性，认证系统可以定 期发起重新认证过程，该过程对于用户是透明的， 即用户无需再次输入用户名和密码。重新认证由认证系统发起，时间是从最近一次成功认证后算起 认证报文丢失重传机制 对于认证系统和客户端之间通信的EAP报文，如果发生丢失，由认证系统负责进行报 文的重传，通过一个超时计数器来完成对重 传时间的设定。考虑到网络的实际环境，一 般认为认证系统和客户端之间报文丢失的几 率比较低，且传送延迟低，因此设定默认的 重传时间为30秒钟。DHCP与 802.lx认证如果客户端需要通过DHCP Server动态 获取IP地址，那么在执行802.lx认证过程中， 只有客户端认证通过后，才会有DHCP发起 和IP地址分配的过程。对于未通过认证的客 户端，其所连接的认证系统的端口将丢弃任 何DHCP请求报文。 IEEE802.1x认证过程EAP 包类型IEEE802.1x通过EAP包承载认证信息，定义了类型： （1）EAP-Packet，认证信息帧，用于承载认证信息； （2）EAPOL-Start，认证发起帧，Supplicant 和 Authenticator 均可以发起； （3）EAPOL-Logoff，退出请求帧，可主动终止已认证状态 ； （4）EAPOL-Key，密钥信息帧，支持对 EAP 报文的加密； 其中 EAPOL-Start，EAPOL-Logoff 和 EAPOL-Key 仅在客户 端和认证系统间存在，在认证系统和认证服务器间，EAP- Packet报文重新封装承载于Radius协议之上，以便穿越复杂的 网络到达认证服务器。 整个802.1x的认证过程 (1) 客户端向认证系统发送EAPOL-start报文，主动发起认证；(2) 认证系统在收到客户端发送的EAPOL-start报文后，会客户端 发送发送EAP-Request/Identity报文响应用户请求，请求客户端发 送身份标识信息；(3) 客户端向认证系统发送含有身份标识信息的EAP- Request/Identity报文；(4) 认证系统将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器；(5) 认证服务器产生一个Challenge，将RADIUS Access- Challenge报文发送给认证系统，其中包含有EAP-Request/MD5- Challenge；(6) 认证系统通过EAP-Request/MD5-Challenge发送给客户端， 要求客户端进行认证； 整个802.1x的认证过程 (7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和 Challenge做MD5算法后的Challenged-Pass-word，在EAP- Response/MD5-Challenge回应给接入设备；(8) 认证系统将Challenge、Challenged Password和用户名一起 送到RADIUS服务器，由RADIUS服务器进行认证；(9) RADIUS服务器根据用户信息，做MD5算法，判断用户是否合 法，然后回应认证成功/失败报文到认证系统。如果成功，携带协 商参数，以及用户的相关业务属性给用户授权。如果认证失败， 则流程到此结束；(10) 客户端收到EAP-Success，认证通过；(11) 客户端发出EAPOL-Logoff报文，可主动终止已认证状态。 802.lx认证特点 802.lx与传统认证方式最本质的区别就是控制与交换相分离。一旦认证通过，所有的业 务流量就和认证系统分开，有效的解决了网 络瓶颈问题。 暴露出了安全性弱、流量控制能力差、不易 管理等可以说是致命的弱点 802.lx认证特点 1协议实现简单 IEEE 802.1x协议为二层协议，不需要到达三层， 对设备的整体性能要求不高，可以有效降低建网成 本。2认证和业务分离 IEEE 802.1x的认证体系结构中采用了“可控端口”和 “不可控端口”的逻辑功能，从而可以实现业务与认 证的分离 ，尤其在开展宽带组播等方面的业务有很 大的优势，所有业务都不受认证方式限制 802.lx认证特点 3客户端软件802.lx认证需要特定的客户软件，用户使用起来多少有些不便 802.lx认证特点简洁高效：纯以太网技术内核，保持IP网络无连接特性，去除冗余昂贵 的多业务网关设备，消除网络认证计费瓶颈和单点故障，易于支持多业 务。 容易实现：可在普通L3、L2、IP DSLAM上实现，网络综合造价成本低 。 安全可靠：在二层网络上实现用户认证，结合MAC、端口、账户和密码 等，进行精细的控制，防止破解、防止代理、漫游控制等。做到彻底杜 绝非法用户进入。 行业标准：IEEE标准，微软操作系统内置支持。 易于运营：控制流和业务流完全分离，易于实现多业务运营。 PPPoE（PPP over Ethernet） PPPoE是一种在以太网上进行PPP点对点拨号连 接的协议。以太网属于专网，网络是直接连接的，不用拨 号，所以物理层上的连接是没有问题的。但为了确 保连接安全，并且只允许合法用户连接，所以采取 了类似电话拨号方式的身份验证，此时所拨的不是 电话号码，而是用户的账户，属于数据链路层的协 议 PPPOE认证PPPoEPPPoE技术最早是由Redback 网络公司、客户端 软件开发商RouterWare公司以及Worldcom子公司 “UUNET Technologies”公司，于1998年后期在 IETF RFC基础上联合开发的 IETF 的工程师们在秉承窄带拨号上网的运营思路 的基础上，制定出了在以太网上传送PPP 数据包的 协议PPPoE。这个协议出台后，各网络设备制 造商也相继推出自己品牌的宽带接入服务器（BAS ），使得PPPoE这种灵活的ADSL接入方式迅速得 到了广泛应用 ADSL应用最广的桥接接入 PPPoE协议工作原理 PPPoE协议会话的发现和会话两个阶段 1发现（Discovery）阶段在发现阶段中用户主机以广播方式寻找所连 接的所有远程接入服务器（PPPOE服务器），并获 得其以太网MAC地址。然后选择需要连接的主机， 并确定所要建立的PPP会话标识号码。发现阶段有4 个步骤，当此阶段完成，通信的两端都知道 SESSION-ID和对端的以太网地址，他们一起惟一 定义PPPoE会话 PPPoE协议工作原理(1) Host（主机）通过发广播包，等待远程接入服务器的响应。主机广播发起分组（PADI），分组的目的地址 为以太网的广播地址0ffffffffffff，CODE（代码）字 段值为009，SESSION-ID（会话ID）字段值为 00000。PADI分组必须至少包含一个服务名称类 型的标签（标签类型字段值为00101），向远程接入服务器提出所要求提供的服务。PPPoE协议工作原理(2) 所有可以提供服务的远程接入服务器在收到广播包后都 会给Host一个响应。远程接入服务器收到在服务范围内的PADI分组，发送 PPPoE有效发现提供包（PADO）分组，以响应请求。CODE字段值为007，SESSION-ID字段值仍为 00000。PADO分组必须包含一个远程接入服务器名称类型 的标签（标签类型字段值为00102），以及一个或多个服务 名称类型标签，表明可向主机提供的服务种类 PPPoE协议工作原理(3) Host收到响应后，依据一定的原则选择一个远程接入服 务器，向其发请求包。主机在可能收到的多个PADO分组中选择一个合适的 PADO分组，然后向所选择的远程接入服务器发送PPPoE有 效发现请求分组（PADR）。CODE字段为019，SESSION_ID字段值仍为00000。 PADR分组必须包含一个服务名称类型标签，确定向接入集 线器（或交换机）请求的服务种类。当主机在指定的时间内 没有接收到PADO，它应该重新发送它的PADI分组，并且加 倍等待时间，这个过程会被重复期望的次数 PPPoE协议工作原理(4) 被选中的远程接入服务器收到Host的请求包后，产生一 个唯一的Session ID并返回给Host。远程接入服务器收到PADR分组后准备开始PPP会话， 它发送一个PPPoE有效发现会话确认PADS分组。CODE字段值为065，SESSION-ID字段值为远程接 入服务器所产生的一个惟一的PPPoE会话标识号码。PADS 分组也必须包含一个远程接入服务器名称类型的标签以确认 向主机提供的服务。当主机收到PADS分组确认后，双方就 进入PPP会话阶段。P